الأمن السيبراني

ما هي اللائحة العامة لحماية البيانات (GDPR)؟


ما هي اللائحة العامة لحماية البيانات (GDPR)؟

اللائحة العامة لحماية البيانات (GDPR) هي تشريع يقوم بتحديث وتوحيد قوانين خصوصية البيانات في جميع أنحاء الاتحاد الأوروبي (EU). تمت الموافقة على اللائحة العامة لحماية البيانات (GDPR) من قبل البرلمان الأوروبي في 14 أبريل 2016، ودخلت حيز التنفيذ في 25 مايو 2018.

وهو يحل محل توجيه الاتحاد الأوروبي لحماية البيانات لعام 1995. ويركز التوجيه الجديد على إبقاء الشركات أكثر شفافية وتوسيع حقوق الخصوصية لأصحاب البيانات. عندما تكتشف منظمة خطيرة خرق البيانات، يتطلب القانون العام لحماية البيانات (GDPR) إخطار جميع الأشخاص المتضررين والسلطة المشرفة في غضون 72 ساعة. تنطبق التفويضات الواردة في اللائحة العامة لحماية البيانات على جميع البيانات التي ينتجها مواطنو الاتحاد الأوروبي، بغض النظر عما إذا كانت الشركة التي تجمع البيانات المعنية موجودة داخل الاتحاد الأوروبي، وكذلك جميع الأشخاص الذين يتم تخزين بياناتهم داخل الاتحاد الأوروبي، بغض النظر عما إذا كانوا من مواطني الاتحاد الأوروبي أم لا . يحدد القانون العام لحماية البيانات (GDPR) أيضًا عقوبات عدم الامتثال.

ما هو الغرض من اللائحة العامة لحماية البيانات؟

الغرض من اللائحة العامة لحماية البيانات هو حماية الأفراد والبيانات التي تصفهم والتأكد من قيام المؤسسات التي تجمع تلك البيانات بذلك بطريقة مسؤولة. وينص القانون العام لحماية البيانات أيضًا على الحفاظ على البيانات الشخصية بشكل آمن؛ تنص اللائحة جزئيًا على أنه يجب حماية البيانات الشخصية من “المعالجة غير المصرح بها أو غير القانونية، وضد الفقدان العرضي أو التدمير أو الضرر”.

يتم أيضًا تحديد أسباب جمع البيانات الشخصية في اللائحة العامة لحماية البيانات؛ يجب أن تكون البيانات التي تم جمعها لغرض محدد ومشروع ولا ينبغي استخدامها بأي طريقة تتجاوز تلك النية. وتقترح اللائحة أيضًا حدودًا على كمية البيانات التي يتم جمعها، قائلة إن جمع البيانات يجب أن يقتصر على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها. وتنص اللائحة العامة لحماية البيانات أيضًا على أن المنظمة التي تجمع البيانات يجب أن تتأكد من دقتها وتحديثها حسب الضرورة.

بموجب اللائحة العامة لحماية البيانات، لا تستطيع الشركات قانونيًا معالجة معلومات التعريف الشخصية لأي شخص (معلومات تحديد الهوية الشخصية) دون استيفاء واحد على الأقل من الشروط الستة التالية:

  1. الموافقة الصريحة لصاحب البيانات.
  2. تعد المعالجة ضرورية لتنفيذ عقد مع صاحب البيانات أو لاتخاذ خطوات لإبرام عقد.
  3. المعالجة ضرورية ل امتثال مع التزام قانوني.
  4. تعد المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص آخر.
  5. تعد المعالجة ضرورية لأداء مهمة يتم تنفيذها لتحقيق المصلحة العامة أو ممارسة السلطة الرسمية المخولة للمراقب.
  6. تعد المعالجة ضرورية للمصالح المشروعة التي يسعى إليها المراقب أو طرف ثالث، إلا عندما يتم تجاوز هذه المصالح بمصالح أو حقوق أو حريات صاحب البيانات.

بالإضافة إلى ذلك، يجب على الشركات التي تقوم بمعالجة البيانات أو مراقبة موضوعات البيانات على نطاق واسع تعيين مسؤول حماية البيانات (DPO). DPO هو الشخص المسؤول عن مراقبة البيانات والتأكد من امتثال الشركة لـ GDRP. إذا لم تمتثل الشركة للائحة العامة لحماية البيانات، فقد تشمل العواقب القانونية غرامات تصل إلى 20 مليون يورو (21.77 مليون دولار أمريكي) أو 4% من حجم المبيعات العالمية السنوية. بالإضافة إلى ذلك، يكون الشخص الذي يقوم بهذا الدور مسؤولاً عن ضمان تطبيق مبادئ حماية البيانات المناسبة للحفاظ على البيانات الشخصية.

تاريخ اللائحة العامة لحماية البيانات

يمكن إرجاع جذور اللائحة العامة لحماية البيانات في الاتحاد الأوروبي إلى اتفاقية الاتحاد الأوروبي لحقوق الإنسان لعام 1950، والتي حددت حقوق الإنسان الأساسية التي يجب على الدول الأعضاء احترامها.

ومع انتشار أجهزة الكمبيوتر في كل مكان في مجالات الأعمال والحكومات، تم وضع لوائح إضافية، مثل اتفاقية حماية البيانات لعام 1981، التي أعلنت الخصوصية حق قانوني.

يرتبط التوجيه الأوروبي لحماية البيانات الذي تم سنه في عام 1995 ارتباطًا وثيقًا باللائحة العامة لحماية البيانات ويُنظر إليه على أنه رائد تلك اللائحة.

ما هي البيانات التي يحميها القانون العام لحماية البيانات؟

يجب على المستخدمين إعطاء الموافقة لأي شركة أو مؤسسة ترغب في جمع واستخدام البيانات الشخصية. وفقًا لتعريف اللائحة العامة لحماية البيانات، فإن البيانات الشخصية هي المعلومات المتعلقة بـ “شخص طبيعي محدد أو يمكن التعرف عليه” – يشار إليه باسم موضوع البيانات.

تتضمن البيانات الشخصية الأنواع التالية من المعلومات:

  • اسم.
  • رقم الهوية.
  • بيانات الموقع.
  • أي معلومات خاصة بـ “الهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي”.
  • بصمات البيانات التي يتم الحصول عليها من خلال شكل ما من أشكال العمليات التقنية، مثل تصوير الوجه أو بصمات الأصابع.
  • المعلومات المتعلقة بصحة الشخص أو الرعاية الصحية.
  • المعلومات العنصرية أو العرقية للفرد.
  • الآراء السياسية أو المعتقدات الدينية.
  • عضوية الاتحاد.
مخطط يوضح أنواعًا مختلفة من معلومات التعريف الشخصية على النحو المحدد في اللائحة العامة لحماية البيانات.
يحدد القانون العام لحماية البيانات (GDPR) أنواعًا مختلفة من البيانات التي يمكن استخدامها لتحديد هوية الشخص بشكل مباشر أو غير مباشر.

ما هي المبادئ السبعة للقانون العام لحماية البيانات؟

تحدد اللائحة العامة لحماية البيانات المبادئ الأساسية السبعة التالية التي تستند إليها لوائحها وقواعد الامتثال المتعلقة بالبيانات الشخصية:

  1. الشرعية والعدالة والشفافية. يجب أن يكون صاحب البيانات على علم بوضوح بكيفية استخدام بياناته.
  2. تقييد الغرض. لا يمكن جمع البيانات إلا لأغراض محددة.
  3. التقليل من البيانات. تقتصر كمية البيانات التي تم جمعها على ما هو ضروري لمعالجة محددة.
  4. دقة. يجب على المنظمات التي تجمع البيانات التأكد من دقتها وتحديثها حسب الضرورة. يجب حذف البيانات أو تغييرها عندما يقدم صاحب البيانات مثل هذا الطلب.
  5. حدود التخزين. لن يتم الاحتفاظ بالبيانات المجمعة لفترة أطول من اللازم.
  6. النزاهة والسرية. يجب تطبيق تدابير الحماية المناسبة على البيانات الشخصية للتأكد من أنها آمنة ومحمية ضد السرقة أو الاستخدام غير المصرح به.
  7. مسئولية. يتحمل جامعو البيانات مسؤولية ضمان الامتثال للائحة العامة لحماية البيانات.

المبادئ السبعة للقانون العام لحماية البيانات تكمن وراء حقوق أصحاب البيانات المحددة، بما في ذلك ما يلي:

  • الحق في النسيان. يمكن لأصحاب البيانات أن يطلبوا مسح معلومات تحديد الهوية الشخصية (PII) من مساحة تخزين الشركة. يحق للشركة رفض الطلبات إذا تمكنت من إثبات الأساس القانوني لرفضها بنجاح.
  • حق الوصول. يمكن لأصحاب البيانات مراجعة البيانات التي قامت المؤسسة بتخزينها عنهم.
  • الحق في الاعتراض. يمكن لأصحاب البيانات رفض الإذن للشركة لاستخدام بياناتهم الشخصية أو معالجتها. يمكن للشركة تجاهل الرفض إذا كان يمكنها استيفاء أحد الشروط القانونية لمعالجة البيانات الشخصية للموضوع ولكن يجب عليها إخطار الموضوع وشرح الأسباب وراء القيام بذلك.
  • الحق في التصحيح. يمكن أن يتوقع أصحاب البيانات تصحيح المعلومات الشخصية غير الدقيقة.
  • حق النقل. يمكن لأصحاب البيانات الوصول إلى البيانات الشخصية التي تمتلكها الشركة عنهم ونقلها.

من يخضع للامتثال للقانون العام لحماية البيانات (GDPR)؟

يجب على جميع المنظمات التي تجمع البيانات الشخصية لأي مواطن من دولة عضو في الاتحاد الأوروبي الالتزام باللائحة العامة لحماية البيانات. يتضمن ذلك المنظمات التي تقيم خارج الاتحاد الأوروبي – ولا يزال يتعين عليها الالتزام باللائحة العامة لحماية البيانات إذا كانت تجمع البيانات الشخصية لمواطن دولة عضو.

تنطبق اللوائح بغض النظر عن الطريقة المستخدمة لجمع البيانات الشخصية؛ ويشمل ذلك البيانات التي تم جمعها بطرق أخرى غير مواقع الويب وأدوات الإنترنت الأخرى. تحدد اللائحة العامة لحماية البيانات الأدوار الثلاثة المتعلقة بالبيانات الشخصية على النحو التالي:

  1. موضوع البيانات. مالك البيانات الشخصية.
  2. متحكم بيانات. يحدد الفرد أو المنظمة البيانات الشخصية التي سيتم جمعها وكيفية استخدامها.
  3. معالجات البيانات. يقوم الفرد أو المؤسسة بمعالجة البيانات الشخصية لوحدة التحكم.

إشعارات الخرق

في حالة حدوث خرق أمني يؤثر على البيانات الشخصية المخزنة، يجب على مراقب البيانات إخطار السلطة الإشرافية خلال 72 ساعة من الانتهاك. يتم تعريف السلطة الإشرافية على أنها السلطة العامة التي تم تعيينها من قبل الدولة العضو في الاتحاد الأوروبي للإشراف على الامتثال للقانون العام لحماية البيانات.

تتضمن المتطلبات الإضافية ذات الصلة بإشعارات الانتهاك ما يلي:

  • إذا لم يتم الإخطار خلال الـ 72 ساعة المخصصة، فيجب على مراقب البيانات تقديم سبب التأخير.
  • يجب أن تتضمن إشعارات الانتهاك، على الأقل، طبيعة الانتهاك وعدد وأنواع البيانات الشخصية لأصحاب البيانات التي يمكن اختراقها وعدد سجلات البيانات التي يمكن أن تكون ذات صلة.
  • ويجب على منظمة التحكم في البيانات أيضًا وصف أي عواقب محتملة ناتجة عن الانتهاك ووصف التدابير التي سيتم اتخاذها للتخفيف من الآثار.
  • يجب تسليم الإخطار بخرق البيانات مباشرة للضحايا، وليس في شكل إعلان عام.
  • يجب على مراقب البيانات توثيق الانتهاك والعلاجات التي طبقها، بالإضافة إلى تقديم الوثائق إلى السلطة الإشرافية للتحقق منها.

الغرامات والعقوبات لعدم الامتثال

يمكن أن تكون العقوبات المفروضة على عدم الامتثال أو خروقات البيانات شديدة. يتم تقييم عدة معايير لتحديد العقوبات المناسبة، بما في ذلك خطورة الانتهاك، ومدته، وعدد أصحاب البيانات المتأثرين بالانتهاك ودرجة الضرر الذي لحق بالانتهاك.

تشمل العوامل الأخرى التي قد تؤثر على العقوبات ما يلي:

  • إذا كان خرق البيانات بسبب الإهمال أو التعمد.
  • الفشل في الاحتفاظ بسجلات كافية لجمع البيانات الشخصية ومعالجتها؛ يمكن أن تصل الغرامات إلى 10 ملايين يورو أو 2٪ من الإيرادات السنوية.
  • عدم الامتثال لأية أوامر صادرة عن الجهات الإشرافية؛ ويمكن أن تصل هذه الغرامات إلى 20 مليون يورو أو ما يصل إلى 4% من إجمالي الإيرادات.

على الرغم من أن اللائحة العامة لحماية البيانات ظلت سارية منذ بضع سنوات فقط، فقد تم فرض بعض الغرامات الكبيرة حتى الآن من قبل سلطات حماية البيانات في أوروبا، على وجه الخصوص، مثل ما يلي:

  • تيك توك. في سبتمبر 2023، مفوض حماية البيانات الأيرلندي فرض غرامة قدرها 345 مليون يورو على عملاق وسائل التواصل الاجتماعي بسبب انتهاكات اللائحة العامة لحماية البيانات التي تتمحور حول تعاملها مع حسابات الأطفال.
  • ميتا. وفي مايو 2023، فرضت لجنة حماية البيانات الأيرلندية غرامة قدرها 1.2 مليار يورو.
  • جوجل ذ.م.م. في ديسمبر 2021، فرضت هيئة حماية البيانات الفرنسية غرامة قدرها 90 مليون يورو على جوجل لعدم قدرتها على السماح لمستخدمي يوتيوب في فرنسا برفض ملفات تعريف الارتباط بسهولة بقدر ما يمكنهم قبولها.
  • واتساب. في سبتمبر 2021، لجنة حماية البيانات الأيرلندية فرض غرامة قدرها 225 مليون يورو على الواتس اب لانتهاكات الشفافية.
  • أمازون. وفي يوليو 2021، فرضت اللجنة الوطنية لحماية البيانات في لوكسمبورغ غرامة قدرها 746 مليون يورو.

الناتج المحلي الإجمالي وبيانات الطرف الثالث

هناك العديد من اللوائح المتعلقة بالبيانات الشخصية التي يتم الحصول عليها من أطراف أخرى غير أصحاب البيانات والمتعلقة بمشاركة البيانات الشخصية خارج الاتحاد الأوروبي.

  • يجب أن يحصل مراقب البيانات على إذن لنقل البيانات إلى بلد آخر أو منظمة دولية.
  • إذا تم جمع البيانات الشخصية من مصادر أخرى غير صاحب البيانات، فيجب على مراقب البيانات تقديم وصف للبيانات وأصلها إلى صاحب البيانات.

أعرب بعض النقاد عن قلقهم بشأن انسحاب المملكة المتحدة من الاتحاد الأوروبي فيما يتعلق بالتأثير على امتثال البلاد للائحة العامة لحماية البيانات. قامت المملكة المتحدة بتحديث قانون حماية البيانات لعام 1998 بقانون جديد يسمى قانون حماية البيانات لعام 2018. يتوافق القانون الجديد بشكل وثيق مع القواعد المحددة في اللائحة العامة لحماية البيانات، ولكن من المتوقع أن تمتثل الشركات البريطانية التي تتعامل مع العملاء أو المنظمات الأخرى في الدول الأعضاء في الاتحاد الأوروبي للائحة العامة لحماية البيانات.

6 خطوات لضمان الامتثال للقانون العام لحماية البيانات

تصف اللائحة العامة لحماية البيانات النتائج المتوقعة للخير والمسؤولية إدارة البيانات، ولكنها لا تحدد أي إجراءات فنية محددة يجب على جامعي البيانات استخدامها لتحقيق هذا الهدف.

تتضمن بعض أفضل الممارسات للمساعدة في ضمان الامتثال للائحة العامة لحماية البيانات ما يلي:

  1. اسأل دائمًا قبل جمع البيانات الشخصية؛ يجب أن يكون موضوع البيانات مشاركين راغبين.
  2. اجمع فقط ما تحتاجه حقًا؛ ستكون المنظمات مسؤولة عن جميع البيانات التي تجمعها، بغض النظر عما إذا كانت تستخدمها أم لا.
  3. لا تشارك البيانات مع جهات أخرى إلا بعد موافقة المستخدمين وموافقة الجهات الإشرافية على المعاملة.
  4. قم بتشفير جميع البيانات الشخصية – سواء أثناء الراحة أو أثناء الطيران.
  5. تأكد من الاحتفاظ بنسختين احتياطيتين محدثتين وآمنتين على الأقل لجميع البيانات الشخصية في موقعين منفصلين خارج الموقع.
  6. احصل على الأدوات اللازمة لتحرير أو حذف عناصر معينة من البيانات الشخصية بسهولة وللتحقق من الإجراءات وتوثيقها.

تمتد الإدارة المسؤولة للبيانات أيضًا إلى حماية معلومات بطاقتك الائتمانية. تعرف على كيفية قيام مجرمي الإنترنت بسرقة معلومات بطاقة الائتمان وكيف يمكنك حماية نفسك من التعرض للاستغلال.



Source link

زر الذهاب إلى الأعلى